Web应用安全解决方案.doc

应用安全需求
针对Web的攻击
现代的信息系统，无论是建立对外的信息发布和数据交换平台，还是建立内部的业务应用系统，都离不开Web应用。Web应用不仅给用户提供一个方便和易用的交互手段，也给信息和服务提供者构建一个标准技术开发和应用平台。
网络的发展历史也可以说是攻击与防护不断交织发展的过程。目前，全球网络用户已近20 亿，用户利用互联网进行购物、银行转账支付和各种软件下载，企业用户更是依赖于网络构建他们的核心业务，对此，Web 安全性已经提高一个空前的高度。
然而，随着黑客们将注意力从以往对网络服务器的攻击逐步转移到了对 Web 应用的攻击上，他们针对Web网站和应用的攻击愈演愈烈，频频得手。根据 Gartner的最新调查，信息安全攻击有75%都是发生在Web应用而非网络层面上。同时，数据也显示，三分之二的Web站点都相当脆弱，易受攻击。
另外，据美国计算机安全协会（CSI）/美国联邦调查局（FBI）的研究表明，在接受调查的公司中，2004年有52%的公司的信息系统遭受过外部攻击（包括系统入侵、滥用Web应用系统、网页置换、盗取私人信息及拒绝服务等等），这些攻击给269家受访公司带来的经济损失超过141亿美元，但事实上他们之中有98%的公司都装有防火墙。早在2002年，IDC就曾在报告中认为，“网络防火墙对应用层的安全已起不到什么作用了，因为为了确保通信，网络防火墙内的Web端口都必须处于开放状态。”
目前，利用网上随处可见的攻击软件，攻击者不需要对网络协议深厚理解，即可完成诸如更换Web网站主页、盗取管理员密码、破坏整个网站数据等等攻击。而这些攻击过程中产生的网络层数据，和正常数据没有什么区别。
Web安全防范
在Web应用的各个层面，都会使用不同的技术来确保安全性，如图示1所示。为了保证用户数据传输到企业Web服务器的传输安全，通信层通常会使用 SSL技术加密数据；企业会使用防火墙和IDS/IPS来保证仅允许特定的访问，所有不必要暴露的端口和非法的访问，在这里都会被阻止。
防火墙
IDS/IPS
DoS攻击
端口扫描
网络层
模式攻击
已知Web
服务器漏洞
跨站脚本
注入式攻击
恶意执行
网页篡改
Web服务器
数据库服务器
Web应用
应用服务器
图示 1 Web应用的安全防护
但是，即便有防火墙和IDS/IPS，企业仍然不得不允许一部分的通讯经过防火墙，毕竟 Web 应用的目的是为用户提供服务，保护措施可以关闭不必要暴露的端口，但是Web应用必须的80 和443端口，是一定要开放的。可以顺利通过的这部分通讯，可能是善意的，也可能是恶意的，很难辨别。而恶意的用户则可以利用这两个端口执行各种恶意的操作，或者偷窃、或者操控、或者破坏 Web 应用中的重要信息。
然而我们看到的现实确是，绝大多数企业将大量的投资花费在网络和服务器的安全上，没有从真正意义上保证 Web 应用本身的安全，给黑客以可乘之机。如图示3所示，在目前安全投资中，只有10％花在了如何防护应用安全漏洞，而这却是75％的攻击来源
。正是这种投资的错位也是造成当前Web站点频频被攻陷的一个重要因素。
75%
25%
10%
90%
Web应用
网络服务器
安全风险
安全投资
图示 2 安全风险和投资
Web漏洞
Web应用系统有着其固有的开发特点：经常更改、设计和代码编写不彻底、没有经过严格的测试等，这些特点导致Web应用出现了很多的漏洞。另外，管理员对Web服务器的配置不当也会造成很多漏洞。
目前常用的针对Web服务器和Web应用漏洞的攻击已经多达几百种，常见的攻击手段包括：注入式攻击、跨站脚本攻击、上传假冒文件、不安全本地存储、非法执行脚本和系统命令、源代码泄漏、URL访问限制失效等。攻击目的包括：非法篡改网页、非法篡改数据库、非法执行命令、跨站提交信息、网站资源盗链、窃取脚本源程序、窃取系统信息、窃取用户信息等。
产品概况
iGuard网页防篡改系统
iGuard网页防篡改系统采用先进的Web服务器核心内嵌技术，将篡改检测模块（数字水印技术）和应用防护模块（防注入攻击）内嵌于Web服务器内部，并辅助以增强型事件触发检测技术，不仅实现了对静态网页和脚本的实时检测和恢复，更可以保护数据库中的动态内容免受来自于Web的攻击和篡改，彻底解决网页防篡改问题。
iGuard的篡改检测模块使用密码技术，为网页对象计算出唯一性的数字水印。公众每次访问网页时，都将网页内容与数字水印进行对比；一旦发现网页被非法修改，即进行自动恢复，保证非法网页内容不被公众浏览。同时，iGuard的应用防护模块也对用户输入的URL地址和提交的表单内容进行检查